Инженер по безопасности приложений
Tilda ищет талантливого инженера по безопасности приложений, который будет играть важную роль в обеспечении безопасности продуктов компании.
Tilda — это международный продукт, который работает на стыке дизайна и программирования. Мы перевернули индустрию веб-разработки и показали, какой на самом деле должна быть платформа для создания сайтов.
Сейчас мы в поиске специалиста, который будет ответственным за ручной и автоматизированный поиск уязвимостей, аудит кода сервисов и сканы безопасности инфраструктуры.
Что нужно будет делать:
  • Осуществлять ручной и автоматизированный поиск уязвимостей, принимать участие в их разборе совместно с командами разработки;
  • Проводить аудит кода сервисов, аудит сканы безопасности инфраструктуры;
  • Совершенствовать архитектуры технических процессов и взаимодействий в рамках цикла безопасной разработки;
  • Анализировать различные решения и технологии с точки зрения информационной безопасности и разрабатывать рекомендации по повышению уровня их защищенности;
  • Улучшать имеющиеся практики AppSec и внедрять новые;
  • Адаптировать OpenSource-инструменты и разрабатывать собственные для автоматизации проверок безопасности, встраивать в процессы разработки и доставки на прод.

Документация:
  • Наполнять WIKI по ИБ;
  • Обновлять стандарты безопасной разработки;
  • Дорабатывать средства мониторинга трафика и производительности приложений.

Взаимодействие с HR-PR:
  • Обучать сотрудников ИБ по отделам;
  • Тестировать новых сотрудников на знание ИБ;
  • Проводить менеджмент Багбаунти программы.
Что ждем от кандидата:
  • Практический опыт проведения анализа приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты приложений и умение исправлять найденные уязвимости на архитектурном уровне;
  • Уверенные знания векторов атак (на разных уровнях) на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;
  • Уверенные знания приемов митигации распространенных уязвимостей и безопасного программирования;
  • Уверенные знания практик DevSecOps/AppSec;
  • Опыт работы с инструментами анализа безопасности приложений (xAST);
  • Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
  • Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
  • Владение несколькими языками из списка и их основ распространенных фреймворков: PHP, SQL, Lua, Bash, Java;
  • Умение разбираться в чужом коде, код-ревью новых фич (PHP, SQL);
  • Понимание современных процессов и практик разработки ПО: Agile, CI/CD (SDLC, DevSecOps);
  • Умение настраивать и администрировать распространенные инструменты CI/CD.
Сертификаты: приветствуется наличие CEH/OSCP или аналогичных сертификатов.
Что мы можем предложить:
  • Стабильный международный проект с большой аудиторией, есть IT-аккредитация в России;
  • Отсутствие бюрократии: любой вопрос можно быстро обсудить и решить;
  • Быструю реализацию идей, возможность влиять на процессы работы;
  • Создание действительно нужных людям вещей и получение большого количества приятной обратной связи от пользователей;
  • Просторный и уютный офис с высокими потолками и большими окнами в центре Москвы;
  • Гибридный формат работы, гибкое начало рабочего дня.
Москва, м. Кузнецкий мост, полная занятость, гибкий график. Зарплата — «белая», по результатам собеседования.
Отправьте заявку
Made on
Tilda